Các nhà nghiên cứu bảo mật vừa phát hiện ra một chiến dịch phát tán mã độc khá tinh vi của nhóm hacker có tên "Witchetty". Nhóm này sử dụng kỹ thuật ẩn mã (steganography) để ẩn một mã độc backdoor vào một bức ảnh logo Windows.
Witchetty được cho là có quan hệ mật thiết với nhóm hacker APT10 (được cho là nhóm hacker được chính phủ Trung Quốc hậu thuẫn, tên khác là Cicada). Nhóm này cũng được cho là một phần của chiến dịch TA410, có liên quan tới các cuộc tấn công nhắm vào các nhà cung cấp năng lượng của Mỹ thời gian trước.
Symantec cho biết Witchetty đang thực hiện một chiến dịch gián điệp mạng nhắm vào hai chính phủ ở Trung Đông và một sàn chứng khoán ở châu Phi từ tháng 02/2022 và vẫn đang tiếp diễn.
Sử dụng logo Windows để phát tán mã độc
Trong chiến dịch này, hacker làm mới công cụ của chúng để nhắm vào các lỗ hổng khác nhau và sử dụng kỹ thuật steganography để ẩn payload độc hại khỏi các phần mềm diệt virus..
Steganography là kỹ thuật giấu dữ liệu trong các file máy tính hoặc các thông tin công khai, không bí mật khác, chẳng hạn như một bức ảnh để tránh bị phát hiện. Ví dụ, hacker có thể tạo một file hình ảnh với khả năng hiển thị hình ảnh bình thường trên máy tính nhưng cũng bao gồm mã độc có thể được trích xuất từ nó.
Trong chiến dịch mà Symantec phát hiện ra, Witchetty đã sử dụng kỹ thuật steganography để che dấu mã độc backdoor được mã hóa XOR trong hình ảnh dạng bitmap của một logo Windows cũ.
File này được lưu trữ trên một dịch vụ đám mây đáng tin cậy thay vì máy chủ command and control (C2) của hacker, do đó, nguy cơ bị cảnh báo trong khi tìm nạp được giảm thiểu.
"Khi ngụy trang payload theo cách này, hacker có thể lưu trữ mã độc trên một dịch vụ miễn phí, đáng tin cậy", Symantec cho biết.
"Hệ thống diệt virus sẽ hiếm khi cảnh báo khi tải xuống từ các máy chủ đáng tin cậy như GitHub so với tải xuống từ các máy chủ C2 do hacker kiểm soát".
Cuộc tấn công bắt đầu bằng việc hacker chiếm quyền truy cập ban đầu vào mạng của nạn nhân bằng cách khai thác các lỗ hổng Microsoft Exchange ProxyShell (CVE-2021-34473, CVE-2021-34523 và CVE-2021-31207) và chuỗi tấn công ProxyLogon (CVE-2021-26855 và CVE-2021-27065). Tiếp đó, chúng sẽ thả webshells trên các máy chủ dễ bị tấn công.
Sau đó, hacker tìm nạp backdoor trong file hình ảnh cho phép chúng thực hiện các việc sau:
- Thực hiện các thao tác với file và thư mục
- Bắt đầu, liệt kê hoặc kết thúc các quy trình
- Sửa đổi Windows Registry
- Tải xuống các payload bổ sung
- Trích xuất file
Witchetty cũng cài cắm một tiện ích proxy tùy chỉnh khiến máy tính bị nhiễm hoạt động như một máy chủ và kết nối với một máy chủ C2 hoạt động như một máy khách, thay vì ngược lại.
Các công cụ khác bao gồm trình quét cổng tùy chỉnh và tiện ích giúp duy trì sự hiện diện với khả năng tự thêm vào Registry với tên gọi "NVIDIA display core component".
Cùng với các công cụ tùy chỉnh, Witchetty sử dụng các tiện ích tiêu chuẩn như Mimikatzand để kết xuất thông tin xác thực từ LSASS và lạm dụng "lolbins" trên máy chủ như CMD, WMIC và PowerShell.
TA410 và Witchetty vẫn là những mối đe dọa thường trực với các chính phủ và cơ quan nhà nước ở Châu Á, Châu Phi và trên toàn cầu. Cách tốt nhất để ngăn chặn các cuộc tấn công của chúng là cài đặt các bản cập nhật vá lỗ hổng bảo mật kịp thời.
Trong chiến dịch được phát hiện bởi Symantec, hacker dựa vào việc khai thác các lỗ hổng của năm ngoái để xâm nhập mục tiêu, lợi dụng các máy chủ bảo mật kém.